如何建立SSH加密的MySQL復制

對數據庫管理員來說,MySQL頗多吸引人之處,例如它的免費和開源,以及擁有詳盡的文檔和內置支持數據復制等。但是安全管理員會迅速指出它的一個缺陷:加密。政府對數據隱私保護的要求極為嚴格,通過局域網或廣域網復制數據都需要加密。


盡管可以通過編譯MySQL使其支持SSL,但許多二進制發行版並未激活該功能。打開一個SQL提示符,然後鍵入命令“show variables like %ssl%”。如果“have_ssl”或“have_openssl”被設置為“No”,則很不幸該功能未被激活。幸運的是,我們還有另一種選擇來從源代碼重新編譯。安全外殼(ssh)支持數據隧道(data-tunneling),它可以建立一個類似VPN的迷你環境,來提供透明加密。首先,我們將使用一個用戶名/密碼建立一條ssh隧道。我們將通過使用RSA密鑰對遠端進行認證。一旦隧道正常運行後,我們將設置數據復制。


建立隧道


ssh隧道使用端口轉發技術來連接到從屬服務器上的一個TCP端口,在本文示例中該端口是7777,它通過ssh被轉發到主MySQL服務器上的TCP端口3306。確保MySQL主服務器端的ssh隧道被激活,默認情況下它一般都處於激活狀態。在MySQL從屬服務器上,執行以下命令“ssh -f user@master_ip -L 7777:master_ip:3306 -N”。使用主服務器的一個系統用戶賬號和IP地址分別替換user和master_ip。你可能希望使用一個僅用於數據復制的用戶,將其shell設定到/bin/false上。另外你可以使用從服務器上的任何可用端口替換7777。在主數據庫端,你將被提示輸入用戶賬號和密碼。


現在從MySQL1從服務器上運行“MySQL -h 127.0.0.1 -P 7777”,來連接MySQL主服務器。切記不能使用localhost,因為在MySQL中它有別的含義。如果需要,可以在該命令後追加“-u -p”來指定一個MySQL賬號和密碼。如果你獲得一個“permission denied”消息,那麼需要檢查MySQL主服務器上的授權聲明。授權聲明應該被捆綁到主計算機的真實IP地址,因為它才是被轉發的MySQL1連接的真正源地址。被轉發的連接不是來自於localhost或127.0.0.1。



設置復制


現在隧道已經建好,接下來該設置數據復制瞭。這個過程與典型的MySQL復制設置完全相同。編輯主服務器上的my.cnf文件,增加以下兩行代碼:


log-bin=MySQL-bin


server-id=1


接下來,創建復制賬號。在MySQL中,運行以下查詢語句:


CREATE USER replicationuser@master_ip IDENTIFIED BY replicationpassword;


GRANT REPLICATION SLAVE ON *.* TO replicationuser@master_ip;


在從屬服務器端,將以下代碼增加到my.cnf文件中:


server-id = 2


master-host = 127.0.0.1


master-user = replicationuser


master-password = replicationpassword


master-port = 7777


重啟主服務器和從服務器上的MySQL服務。對於新創建的復制環境,你可能需要手動拷貝數據庫到從服務器上。參考MySQL指南(16.1章節),可以獲得創建數據快照和更多復制選項的詳細信息。這一切都做完後,檢查復制是否生效。分別在主服務器和從服務器上執行一個“select”查詢;返回結果應該是相同的。在主服務器上執行insert、update或delete數據,改變“select”返回結果的記錄集。等待幾秒鐘後,重新執行“select”查詢。如果復制功能已經生效,主從服務器上得到結果應該仍然是相同的。


你可能希望使用預共享的RSA密鑰來取代必須鍵入密碼。通過使用密鑰,你可以設置看門狗shell腳本,來確保ssh通道處於激活狀態,而且如果該通道失效,它將自動重啟。另外,考慮在主服務器上創建一個Cron守護進程,來使用當前的unix時間戳來更新數據表。從服務器可以增加一個檢查該值的Cron守護進程。如果它滯後當前時間戳太大,復制功能可能已被破壞,管理員應該收到告警郵件。


明確MySQL復制相關的兩點重要事項


關於MySQL復制,有兩點重要事項需要記住。首先,其主要目的是災難恢復和高可用性,而非備份。在主服務器上執行的每一條數據更改語句,都將在從服務器端重復執行。因此如果你無意鍵入瞭“DELETE FROM mytables”語句,並忘記瞭使用WHERE子句來限定范圍,那麼你的數據將會同時在主服務器和從服務器上丟失。


第二件需要記住的事情是,你能夠在從服務器上創建、更新和刪除數據。我遇到過有的開發者為瞭實現高可用性,創建瞭同時運行在主服務器和從服務器上的應用程序,並更新瞭一個被復制的表,每次都破壞瞭復制功能。因此你需要在應用程序中加入檢查邏輯,檢查它是否是運行在一個未激活的從屬系統上,不要向被復制的表寫數據。然後在它上面進行開發者單元測試。


 


 


 

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *